Infoblox revela mudança nas táticas de malware após descoberta inicial

Infoblox descobre que o software de código aberto Pupy é uma cortina de fumaça para as capacidades reais do Decoy Dog, destacando a necessidade crítica de segurança DNS

Dvulgação | Infoblox

A Infoblox Inc., empresa que oferece uma plataforma de rede e segurança simplificada e habilitada para nuvem focada em melhorar o desempenho e a proteção, publicou no final de julho um segundo relatório de ameaças com atualizações críticas sobre o "Decoy Dog", o kit de ferramentas de trojan de acesso remoto (RAT) que eles descobriram e divulgaram em abril de 2023. O malware usa DNS para estabelecer comando e controle (C2) e é suspeito de ser uma ferramenta secreta usada em ataques cibernéticos contínuos a estados-nação.

Os agentes da ameaça responderam rapidamente após a divulgação do kit de ferramentas pela Infoblox, adaptando seus sistemas para garantir operações contínuas e indicando que manter o acesso aos dispositivos das vítimas continua como alta prioridade. A análise mostra que o uso do malware se espalhou, com pelo menos três atores agora operando. Embora baseado no RAT Pupy de código aberto, o Decoy Dog é um malware fundamentalmente novo, anteriormente desconhecido, com muitos recursos para persistir em um dispositivo comprometido. Muitos aspectos do Decoy Dog permanecem um mistério, mas todos os sinais apontam para hackers de Estado-nação. A Infoblox lançou um novo conjunto de dados contendo o tráfego DNS capturado dos servidores da Infoblox para apoiar uma investigação mais aprofundada da indústria dos sistemas C2.

A pergunta que muitos na indústria continuam a fazer silenciosamente é: estamos realmente protegendo nossa rede se não estamos monitorando nosso DNS? Há um risco significativo de que o Decoy Dog e seu uso continuem a crescer e impactar as organizações globalmente. Atualmente, o único meio conhecido para detectar e se defender contra o Decoy Dog/Pupy hoje é com sistemas de detecção e resposta de DNS como o BloxOne® Threat Defense da Infoblox.

"É intuitivo que o DNS deve ser a primeira linha de defesa para as organizações detectarem e mitigarem ameaças como o Decoy Dog. A Infoblox é a melhor solução de detecção e resposta de DNS do setor, fornecendo às empresas uma defesa pronta para uso que outras soluções XDR perderiam", disse Scott Harrell, presidente e CEO da Infoblox. "Como demonstrado com o Decoy Dog, estudar e entender profundamente as táticas e técnicas do invasor nos permite bloquear ameaças antes mesmo que elas sejam conhecidas como malware."

Por meio da análise de DNS em larga escala, a Infoblox aprendeu os principais recursos do malware e os atores que o operam. Logo após o primeiro anúncio nas redes sociais, cada ator de ameaças do Decoy Dog respondeu às revelações da Infoblox de maneiras diferentes. Alguns dos servidores de nomes mencionados no relatório de abril de 2023 da Infoblox foram retirados do ar, enquanto outros migraram suas vítimas para novos servidores. Apesar de seus esforços para se esconder, a Infoblox continuou a acompanhar as atividades e, desde então, aprendeu muito mais sobre elas. A empresa conseguiu, ainda, inferir a natureza de algumas comunicações e estima que o número de dispositivos comprometidos é relativamente pequeno. Além disso, também foi capaz de distinguir o Decoy Dog do Pupy e determinar que o Decoy Dog tem um conjunto completo de capacidades poderosas e até então desconhecidas, incluindo a capacidade de mover as vítimas para outro controlador, permitindo que elas mantenham a comunicação com máquinas comprometidas e permaneçam ocultas por longos períodos de tempo. Algumas vítimas se comunicam ativamente com um servidor da Decoy Dog há mais de um ano.

"A falta de informações sobre os sistemas de vítimas subjacentes e as vulnerabilidades que estão sendo exploradas torna o Decoy Dog uma ameaça contínua e séria", disse a Dra. Renée Burton, Chefe de Inteligência de Ameaças da Infoblox. "A melhor defesa contra esse malware é o DNS. A atividade maliciosa muitas vezes passa despercebida porque o DNS é subvalorizado como um componente crítico no ecossistema de segurança. Somente empresas com uma forte estratégia de DNS de proteção podem se proteger desses tipos de ameaças ocultas."

No total, a companhia está monitorando atualmente 20 domínios do Decoy Dog, alguns dos quais foram registrados e implantados no último mês. Este kit de ferramentas explora uma fraqueza inerente do ecossistema de inteligência centrado em malware que domina o setor de segurança atualmente. Além disso, este malware foi descoberto apenas por causa dos algoritmos de detecção de ameaças de DNS. A melhor defesa das organizações contra esses ataques é a proteção no nível DNS, dentro de todas as redes. Os clientes do BloxOne® Threat Defense da Infoblox permanecem protegidos contra o Decoy Dog e esses conhecidos agentes de ameaças maliciosas. Pedimos à indústria que leve essa pesquisa adiante, investigue mais e compartilhe suas descobertas”, acrescentou Harrell.

Experiência prática e real do Pupy na BlackHat: A Dra. Renée Burton discutirá por que "Decoy Dog is No Ordinary Pupy" em detalhes, juntamente com outras descobertas importantes na conferência de segurança cibernética Black Hat em Las Vegas na quarta-feira, 9 de agosto, das 13h15 às 13h35 PT. Ao longo da conferência, os participantes poderão se encontrar com pesquisadores da Infoblox e demonstrar suas habilidades com uma série de desafios práticos usando um controlador Pupy ao vivo por meio da experiência Double Dog Dare da Infoblox. Breves introduções adicionais a Decoy Dog e Pupy serão realizadas no teatro do estande nos dois dias. Essa experiência única permitirá que os participantes vejam em primeira mão como o tráfego DNS é usado para transmitir comunicações entre o cliente e o servidor para entender melhor a séria ameaça que esse malware representa.

O potencial oculto do DNS na segurança: Decoy Dog e Pupy se aproveitam da falta de supervisão de DNS que geralmente ocorre nas redes. Na verdade, mais de 90%* de todos os malwares usam DNS de alguma forma. A Infoblox sabe que é imperativo que os profissionais de segurança entendam as maneiras pelas quais o malware explora o DNS e como a Detecção e Resposta ao DNS muitas vezes pode impedir esses ataques. Especialistas na área lançaram recentemente um novo livro intitulado "O potencial oculto do DNS em segurança". Este livro dá aos leitores tudo o que eles precisam saber sobre domínios semelhantes, algoritmos gerados por domínio (DGAs), tunelamento DNS, exfiltração de dados sobre DNS, por que os hackers usam DNS e como se defender contra esses ataques. Uma cópia do livro está disponível na Amazon.

*Mais de 90% dos ataques de malware aproveitam o DNS para estabelecer comando e controle em uma rede alvo, de acordo com Anne Neuberger, diretora de segurança cibernética da Agência de Segurança Nacional.